Požadavky na síť mostu prostředků Azure Arc
Tento článek popisuje síťové požadavky pro nasazení mostu prostředků Azure Arc ve vašem podniku.
Obecné požadavky na síť
Most prostředků Arc komunikuje bezpečně s Azure Arc přes port TCP 443. Pokud se zařízení potřebuje připojit přes bránu firewall nebo proxy server a komunikovat přes internet, probíhá jeho odchozí komunikace přes protokol HTTPS.
Obecně platí, že požadavky na připojení zahrnují tyto principy:
- Všechna připojení jsou TCP, pokud není uvedeno jinak.
- Všechna připojení HTTP používají protokol HTTPS a SSL/TLS s oficiálně podepsanými a ověřitelnými certifikáty.
- Všechna připojení jsou odchozí, pokud není zadáno jinak.
Pokud chcete použít proxy server, ověřte, že agenti a počítač provádějící proces onboardingu splňují požadavky na síť v tomto článku.
Požadavky na odchozí připojení
Následující adresy URL brány firewall a proxy serveru musí být povolené, aby bylo možné povolit komunikaci z počítače pro správu, virtuálního počítače zařízení a IP adresy řídicí roviny na požadované adresy URL mostu prostředků Arc.
Seznam povolených adres URL brány firewall nebo proxy serveru
| Služba | Port | Adresa URL | Směr | Poznámky |
|---|---|---|---|---|
| Koncový bod rozhraní API SFS | 443 | msk8s.api.cdp.microsoft.com |
IP adresy virtuálních počítačů pro správu a zařízení vyžadují odchozí připojení. | Stáhněte si katalog produktů, bity produktů a image operačního systému ze systému souborů SFS. |
| Stažení image mostu prostředků (zařízení) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
IP adresy virtuálních počítačů pro správu a zařízení vyžadují odchozí připojení. | Stáhněte si image operačního mostu prostředků Arc. |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
IP adresy virtuálních počítačů pro správu a zařízení vyžadují odchozí připojení. | Objevte image kontejnerů pro most prostředků Arc. |
| Microsoft Container Registry | 443 | *.data.mcr.microsoft.com |
IP adresy virtuálních počítačů pro správu a zařízení vyžadují odchozí připojení. | Stáhněte si image kontejnerů pro Most prostředků Arc. |
| server systém Windows NT P | 123 | time.windows.com |
IP adresy virtuálních počítačů pro správu a zařízení (pokud je ve výchozím nastavení Hyper-V systém Windows NT P) vyžadují odchozí připojení na UDP. | Synchronizace času operačního systému na počítači s virtuálním počítačem a správou zařízení (systém Windows NT P). |
| Azure Resource Manager | 443 | management.azure.com |
IP adresy virtuálních počítačů pro správu a zařízení vyžadují odchozí připojení. | Správa prostředků v Azure |
| Microsoft Graph | 443 | graph.microsoft.com |
IP adresy virtuálních počítačů pro správu a zařízení vyžadují odchozí připojení. | Vyžaduje se pro Azure RBAC. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
IP adresy virtuálních počítačů pro správu a zařízení vyžadují odchozí připojení. | Vyžaduje se k aktualizaci tokenů ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
IP adresy virtuálních počítačů pro správu a zařízení vyžadují odchozí připojení. | Vyžaduje se k aktualizaci tokenů ARM. |
| Azure Resource Manager | 443 | login.windows.net |
IP adresy virtuálních počítačů pro správu a zařízení vyžadují odchozí připojení. | Vyžaduje se k aktualizaci tokenů ARM. |
| Služba datového roviny mostu prostředků (zařízení) | 443 | *.dp.prod.appliances.azure.com |
IP adresa virtuálních počítačů zařízení vyžaduje odchozí připojení. | Komunikace s poskytovatelem prostředků v Azure |
| Stažení image kontejneru mostu prostředků (zařízení) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
IP adresy virtuálních počítačů zařízení potřebují odchozí připojení. | Vyžaduje se pro vyžádání imagí kontejneru. |
| Spravovaná identita | 443 | *.his.arc.azure.com |
IP adresy virtuálních počítačů zařízení potřebují odchozí připojení. | Vyžaduje se k vyžádání certifikátů spravované identity přiřazených systémem. |
| Stažení image kontejneru Azure Arc pro Kubernetes | 443 | azurearcfork8s.azurecr.io |
IP adresy virtuálních počítačů zařízení potřebují odchozí připojení. | Vyžádat image kontejneru |
| Služba telemetrie ADHS | 443 | adhs.events.data.microsoft.com |
IP adresy virtuálních počítačů zařízení potřebují odchozí připojení. | Microsoft pravidelně odesílá povinná diagnostická data z virtuálního počítače zařízení. |
| Datová služba událostí Microsoftu | 443 | v20.events.data.microsoft.com |
IP adresy virtuálních počítačů zařízení potřebují odchozí připojení. | Odesílání diagnostických dat z Windows |
| Shromažďování protokolů pro most prostředků Arc | 443 | linuxgeneva-microsoft.azurecr.io |
IP adresy virtuálních počítačů zařízení potřebují odchozí připojení. | Protokoly nabízených oznámení pro spravované komponenty zařízení |
| Stažení komponent mostu prostředků | 443 | kvamanagementoperator.azurecr.io |
IP adresy virtuálních počítačů zařízení potřebují odchozí připojení. | Načítání artefaktů pro komponenty spravované zařízením |
| Správce opensourcových balíčků Microsoftu | 443 | packages.microsoft.com |
IP adresy virtuálních počítačů zařízení potřebují odchozí připojení. | Stáhněte instalační balíček pro Linux. |
| Vlastní umístění | 443 | sts.windows.net |
IP adresy virtuálních počítačů zařízení potřebují odchozí připojení. | Vyžaduje se pro vlastní umístění. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
IP adresy virtuálních počítačů zařízení potřebují odchozí připojení. | Vyžaduje se pro Azure Arc. |
| Diagnostická data | 443 | gcs.prod.monitoring.core.windows.net |
IP adresy virtuálních počítačů zařízení potřebují odchozí připojení. | Pravidelně odesílá povinná diagnostická data Microsoftu. |
| Diagnostická data | 443 | *.prod.microsoftmetrics.com |
IP adresy virtuálních počítačů zařízení potřebují odchozí připojení. | Pravidelně odesílá povinná diagnostická data Microsoftu. |
| Diagnostická data | 443 | *.prod.hot.ingest.monitor.core.windows.net |
IP adresy virtuálních počítačů zařízení potřebují odchozí připojení. | Pravidelně odesílá povinná diagnostická data Microsoftu. |
| Diagnostická data | 443 | *.prod.warm.ingest.monitor.core.windows.net |
IP adresy virtuálních počítačů zařízení potřebují odchozí připojení. | Pravidelně odesílá povinná diagnostická data Microsoftu. |
| portál Azure | 443 | *.arc.azure.net |
IP adresy virtuálních počítačů zařízení potřebují odchozí připojení. | Správa clusteru z webu Azure Portal |
| Azure CLI a rozšíření | 443 | *.blob.core.windows.net |
Počítač pro správu potřebuje odchozí připojení. | Stáhněte si instalační program a rozšíření Azure CLI. |
| Azure Arc Agent | 443 | *.dp.kubernetesconfiguration.azure.com |
Počítač pro správu potřebuje odchozí připojení. | Rovina dat použitá pro agenta Arc |
| Balíček Pythonu | 443 | pypi.org, *.pypi.org |
Počítač pro správu potřebuje odchozí připojení. | Ověřte verze Kubernetes a Pythonu. |
| Azure CLI | 443 | pythonhosted.org, *.pythonhosted.org |
Počítač pro správu potřebuje odchozí připojení. | Balíčky Pythonu pro instalaci Azure CLI |
Požadavky na příchozí připojení
Komunikace mezi následujícími porty musí být povolená z počítače pro správu, IP adres virtuálních počítačů zařízení a IP roviny řízení. Ujistěte se, že jsou tyto porty otevřené a že se provoz nesměruje přes proxy server, aby se usnadnilo nasazení a údržba mostu prostředků Arc.
| Služba | Port | IP adresa/počítač | Směr | Poznámky |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs a Management machine |
Obousměrná | Používá se k nasazení a údržbě virtuálního počítače zařízení. |
| Server rozhraní API Kubernetes | 6443 | appliance VM IPs a Management machine |
Obousměrný | Správa virtuálního počítače zařízení |
| SSH | 22 | control plane IP a Management machine |
Obousměrná | Používá se k nasazení a údržbě virtuálního počítače zařízení. |
| Server rozhraní API Kubernetes | 6443 | control plane IP a Management machine |
Obousměrný | Správa virtuálního počítače zařízení |
| HTTPS | 443 | private cloud control plane address a Management machine |
Počítač pro správu potřebuje odchozí připojení. | Komunikace s řídicí rovinou (např. adresa VMware vCenter). |
Poznámka:
Zde uvedené adresy URL jsou vyžadovány pouze pro most prostředků Arc. Jiné produkty Arc (například VMware vSphere s podporou Arc) můžou mít další požadované adresy URL. Podrobnosti najdete v požadavcích na síť Azure Arc.
Určené rozsahy IP adres pro most prostředků Arc
Při nasazování mostu prostředků Arc jsou konkrétní rozsahy IP adres vyhrazené výhradně pro pody a služby Kubernetes v rámci virtuálního počítače zařízení. Tyto interní rozsahy IP adres se nesmí překrývat s žádnými vstupy konfigurace pro most prostředků, jako jsou předpona IP adresy řídicí roviny, IP adresy virtuálních počítačů zařízení, servery DNS, proxy servery nebo hostitele vSphere ESXi. Podrobnosti o konfiguraci mostu prostředků Arc najdete v požadavcích na systém.
Poznámka:
Tyto určené rozsahy IP adres se používají pouze interně v rámci mostu prostředků Arc. Nemají vliv na prostředky Nebo sítě Azure.
| Služba | Určený rozsah IP adres |
|---|---|
| Pody Kubernetes mostu prostředků Arc | 10.244.0.0/16 |
| Služby Kubernetes pro most prostředků Arc | 10.96.0.0/12 |
Konfigurace proxy serveru SSL
Důležité
Most prostředků Arc podporuje pouze přímé (explicitní) proxy servery, včetně neověřených proxy serverů, proxy serverů se základním ověřováním, ukončování proxy serverů SSL a proxy pro předávání SSL.
Pokud používáte proxy server, musí být most prostředků Arc nakonfigurovaný tak, aby používal proxy server, aby se mohl připojit ke službám Azure.
Pokud chcete nakonfigurovat most prostředků Arc s proxy serverem, při vytváření konfiguračních souborů zadejte cestu k souboru certifikátu proxy serveru.
Formát souboru certifikátu je X.509 s kódováním Base-64 (. CER).
Předat pouze jeden certifikát proxy serveru. Pokud je sada certifikátů předána, nasazení selže.
Koncový bod proxy serveru nemůže být doména
.local.Proxy server musí být dostupný ze všech IP adres v rámci předpony IP adresy, včetně IP adres řídicí roviny a IP adres virtuálních počítačů zařízení.
Při nasazování mostu prostředků Arc za proxy SSL by měly být relevantní jenom dva certifikáty:
Certifikát SSL pro proxy server SSL (aby počítač pro správu a zařízení důvěřovaly plně kvalifikovanému názvu domény proxy serveru a mohly k němu navázat připojení SSL)
Certifikát SSL serverů pro stahování microsoftu Tento certifikát musí být důvěryhodný pro samotný proxy server, protože proxy server je ten, který vytváří konečné připojení a potřebuje důvěřovat koncovému bodu. Počítače bez Windows nemusí ve výchozím nastavení důvěřovat tomuto druhému certifikátu, takže možná budete muset zajistit, aby byl důvěryhodný.
Aby bylo možné nasadit most prostředků Arc, je potřeba image stáhnout do počítače pro správu a pak je nahrát do místní galerie privátních cloudů. Pokud proxy server omezuje rychlost stahování, možná nebudete moct stáhnout požadované image (~3,5 GB) během přiděleného času (90 min).
Seznam vyloučení pro žádný proxy server
Pokud se používá proxy server, následující tabulka obsahuje seznam adres, které by měly být vyloučeny z proxy serveru konfigurací noProxy nastavení.
| IP Address | Důvod vyloučení |
|---|---|
| localhost, 127.0.0.1 | Provoz místního hostitele |
| .Svc | Interní provoz služby Kubernetes (.svc), kde .svc představuje zástupný název. Podobá se tomu říká *.svc, ale v tomto schématu se nepoužívá žádné. |
| 10.0.0.0/8 | Adresní prostor privátní sítě |
| 172.16.0.0/12 | Adresní prostor privátní sítě – CIDR služby Kubernetes Service |
| 192.168.0.0/16 | Adresní prostor privátní sítě – CIDR podu Kubernetes |
| contoso.com. | Možná budete chtít vyloučit obor názvů organizace (.contoso.com) z směrování přes proxy server. Pokud chcete vyloučit všechny adresy v doméně, musíte doménu přidat do noProxy seznamu. Místo zástupné znaky (*) použijte úvodní tečku. V ukázce adresy .contoso.com vyloučí adresy prefix1.contoso.com, prefix2.contoso.coma tak dále. |
Výchozí hodnota je noProxy localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16. I když tyto výchozí hodnoty budou fungovat pro mnoho sítí, možná budete muset do seznamu výjimek přidat další rozsahy podsítí nebo názvy. Můžete například chtít vyloučit obor názvů organizace (.contoso.com) z směrování prostřednictvím proxy serveru. Toho dosáhnete zadáním hodnot v noProxy seznamu.
Důležité
Při výpisu noProxy více adres pro nastavení nepřidávejte za každou čárku mezeru pro oddělení adres. Adresy musí okamžitě následovat za čárkou.
Naslouchání interním portům
Mějte na paměti, že virtuální počítač zařízení je nakonfigurovaný tak, aby naslouchal na následujících portech. Tyto porty se používají výhradně pro interní procesy a nevyžadují externí přístup:
- 8443 – Koncový bod pro webhook Microsoft Entra Authentication
- 10257 – Koncový bod pro metriky mostu prostředků Arc
- 10250 – koncový bod pro metriky mostu prostředků Arc
- 2382 – Koncový bod pro metriky mostu prostředků Arc
Další kroky
- Projděte si přehled mostu prostředků Azure Arc a seznamte se s dalšími požadavky a technickými podrobnostmi.
- Seznamte se s konfigurací zabezpečení a aspekty mostu prostředků Azure Arc.
- Podívejte se na tipy pro řešení potíží se sítěmi.